Google website optimizer sikkerhedsproblem

Google website optimizer sikkerhedsproblem

Google har rundsendt information om et sikkerhedshul i deres website optimizer.

Det nuværende script indeholder en sikkerhedsbrist, som kan føre til at der kan foretages cross-site scripting på det pågældende website.

Google anbefaler sine brugere enten at slette eksisterende eksperimenter eller at tilpasse det eksisterende script, således det forhindrer uautoriseret adgang via website optimizer scriptet, hvor ondsindede kan få adgang til websitet med cross-site scripting.

Nye eksperimenter er ikke sårbare overfor cross-site scripting.

Find website optimizer control scriptet på dit website, hvis du ønsker manuelt at redigere i det og beholde allerede eksisterende eksperimenter.:

A/B Test Control Script

<!– Google Website Optimizer Control Script –>

<script>

function utmx_section(){}function utmx(){}

(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){

if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.

length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;

d.write(‘<sc’+’ript src=”‘+

‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’

+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’

+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+

‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();

</script><script>utmx(“url”,’A/B’);</script>

<!– End of Google Website Optimizer Control Script –> Multivariate Test Control Script

<!– Google Website Optimizer Control Script –>

<script>

function utmx_section(){}function utmx(){}

(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){

if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.

length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;

d.write(‘<sc’+’ript src=”‘+

‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’

+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’

+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+

‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();

</script>

<!– End of Google Website Optimizer Control Script –> Find denne linje i Google website optimizer scriptet: return c.substring(…Modficer denne linje:

Før: return c.substring(i+n.length+1,j<0?c.length:j)

Efter: return escape(c.substring(i+n.length+1,j<0?c.length:j))

Husk afslutningen med parantes. “)” Fixed A/B Control Script

<!– Google Website Optimizer Control Script –>

<script>

function utmx_section(){}function utmx(){} (function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);

return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}

var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+

‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’

+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’

+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+

‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();

</script><script>utmx(“url”,’A/B’);

</script>

<!– End of Google Website Optimizer Control Script –>

Fixed Multivariate Control Script

<!– Google Website Optimizer Control Script –>

<script>

function utmx_section(){}function utmx(){}

(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){

if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);

return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}

var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+

‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’

+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’

+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+

‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();

</script>

<!– End of Google Website Optimizer Control Script –>

Bemærk=XXXXXXXXX linjen er en placeholder i control scriptet.

Eksperiment vil fortsætte som normalt efter at du har lavet denne opdatering. Der er ingen grund til at holde pause eller genstarte eksperimentet.

Hvor ligger problemet i Google website optimizer scriptet?

Scriptet i den gamle version anvender data som tegn, hvilket giver mulighed for at udføre angreb og cross-site scripting på websites, der anvender scriptet, ved at indsætte en ESCAPE kodning, tvinger man parseren(fortolkeren) til at anvende tegn som data, dette forhindrer adgang til websstedet via scriptet.

Del nyheden!
Tilmelding nyheder